Pišući o tehnikama reverznog inženjeringa, pomenula sam statičke i dinamičke tehnike. Takođe, bilo je riječi o detekciji na bazi potpisa i različitim načinima izrade malicioznog koda
koji uključuju metode „prikrivanja“ zle namjere unutar samog koda –
polimorfizam.
I dok se polimorfizam bazira na enkripciji malicioznog koda, što
komplikuje njegovo otkrivanje , pakiranje
ide korak dalje: dodaje se nekoliko slojeva, nivoa, kompresije i enkripcije
istovremeno. Ovakve tehnike mogu biti otkrivene i rekonstruisane samo
dinamičkom analizom – izvršavanjem programa u testnim uslovima u realnom
vremenu, i analizom rezultata.
Dolazeći do algoritma pakiranja, reverznim inženjeringom, AV stručnjaci
razvijaju AV-engine, mehanizam koji će prepoznati pakirani maliciozni kod, i „otpakovati“
ga istom rutinom, unazad. I onesposobiti.
Djeluje jednostavno, ali danas je ovo jedan od najvećih izazova AV
industrije. Veliki procenat (oko 80%) malvera je još uvijek „zapakovan“ , postoji
preko 200 familija tzv. „pakera „ (rutina za pakiranje) i do 2000 varijanti
svake familije ( izvještaj Simanteka za 2008, danas sigurno i više).
Jasno je, da bi se napravio algoritam za raspakivanje mora biti potpuno poznat
algoritam pakiranja, a vrijeme otkrivanja tog algoritma za jedan „paker“ je od
šest sati do šest mjeseci.
Dakle, kao što sam rekla, radi se o više slojeva pakovanja, pri čemu je
nepoznato koliko, a svaki sloj koristi svoj algoritam. Osim što se koristi
polimorfizam, na djelu je često i metamorfizam – pa se na kraju enkriptuje i
čitav sadržaj.
Pojednostavljeno, to izgleda ovako: Maliciozni softver analizira vlastiti kod, i dijeli ga u blokove.
Svaki od blokova mutira nezavisno, instukcije se zamjenjuju semantički
identičnim, ali je rezultat drugačiji, jer se blokovi „ispremještaju“. Kao
rezultat toga, pokretanje istog virusa na različitim mjestima daće različit
izgled koda (ukoliko bi analizirali statički), pa je dinamička analiza jedini
način da se razotkriju ovakvi algoritmi.
Izazovi AV industrije su svakim danom sve veći. Po podacima Simanteka iz 2008, AV industrija je dobijala preko 25.000 semplova malicioznog softvera dnevno. Jasno je da prvobitni pristup sa čuvanjem i distribucijom baza potpisa ne može „pokriti“ problem. Dinamička analiza i algoritmi za otkrivanje zahtijevaju od AV stručnjaka da razmišljaju kao kreatori virusa, i da izučavaju iste metode i tehnike kako bi ih mogli primjeniti u borbi pritiv malicioznog softvera, i spriječiti razvoj ove visokoprofitne i visoko kriminalne oblasti andergraund ekonomije.
U nastavku je link na studiju o OmniUnpack metodi dinamičke analize i
raspakivanja, koja daje detaljan opis onog što sam ovdje načela – LINK ,
A takođe i još jedna studija o dinamičkoj analizi - LINK
Нема коментара:
Постави коментар